【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)安全风险通告

奇安信 CERT 2025-02-27 03:40

● 
点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	NAKIVO Backup & Replication任意文件读取漏洞
漏洞编号	QVD-2025-8756,CVE-2024-48248
公开时间	2025-02-26	影响量级	千级
奇安信评级	高危	CVSS 3.1分数	7.5
威胁类型	信息泄露	利用可能性	高
POC状态	已公开	在野利用状态	未发现
EXP状态	已公开	技术细节状态	已公开
危害描述：攻击者读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。

01

漏洞详情

>
>
>
>

影响组件

NAKIVO Backup & Replication 是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。

>
>
>
>

漏洞描述

近日，奇安信CERT监测到官方修复NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)，攻击者可利用STPreLoadManagement 类中的 getImageByPath方法，绕过路径验证并读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

>
>
>
>

影响版本

NAKIVO Backup & Replication < v11.0.0.88174

>
>
>
>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)****，截图如下：

04

受影响资产情况

奇安信鹰图资产测绘平台数据显示，NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)
关联的全球风险资产总数为3742个，关联IP总数为1352个。全球风险资产分布情况如下：

05

处置建议

>
>
>
>

安全更新

目前官方已发布安全更新，建议用户尽快升级至最新版本：

https://www.nakivo.com/resources/download/trial-download/download/

>
>
>
>

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：8104 ，建议用户尽快升级检测规则库至2502271130以上；

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0227.14661或以上版本。
规则ID及规则名称：

0x1002210B，NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击，请将插件版本和指纹版本升级到202502282600以上版本。规则名称：NAKIVO Backup & Replication CVE-2024-48248任意文件读取漏洞。奇安信自动化渗透测试系统规则升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

06

参考资料

[1]
https://labs.watchtowr.com/the-best-security-is-when-we-all-agree-to-keep-everything-secret-except-the-secrets-nakivo-backup-replication-cve-2024-48248/

07

时间线

2025年02月27日，奇安信 CERT发布安全风险通告。

08

漏洞情报服务

奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。

点击↓阅读原文，到ALPHA威胁分析平台
订阅更多漏洞信息。